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(54) litre : ALIMENTATION D'UN CIRCUIT DE TRAITEMENT ASYNCHRONE DE DONNEES 

(57) Abstract: The invention relates to a 
method and feed circuit for an asynchronous 
calculation element (1) of an integrated 
circuit, wherein the instantaneous power 
supply of the calculation element is 
randomly varied . 

(57) Abrege : U invention conceme 
un proc6d6 et circuit d' alimentation 
d*un 6\6meni de calcul asynchrone (1) 
d'un circuit int6gr6, dans lequel on fait 
varier al^atoirement T^nergie instantante 
d'alimentation de V6\6ment de calcul. 
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ALIMEMCATION D'UM CIRCOIT DE roAITEMENT ASYNCHRONE 0£ DONNEES 

La pr^sente invention conceme les circuits int^gr^s 
ou ^l^ents de circuit integr^ executant de fagon asynchrone des 
traitements de donn^es nijineriques . L' invention concerne plus 
particulierement les circuits manipulant des donnees que I'on 
5 souhaite prot^ger, par exemple, des donnees confidentielles ou 
des cles d'authentification. 

Un type r^pandu d'attaque de donnees d'un circuit 
int^gr^ executant des algorithmes s^curis^s consiste a analyser 
la consommation du circuit integre ou de la partie de celui-ci 

10 executant 1 • algorithme manipulant des donnees secrdtes. De 
telles attaques par analyse de consommation sont connues sous 
des abr6viations SPA (Single Power Analysis) ou DPA (Differential 
Power Analysis) et consistent k analyser la consommation d'un 
circuit integre en fonction des donnees qu'il traite afin de 

15 d^couvrir des donnees cens^es etre secretes. 

Dans un circuit fonctionnant de fa<?on asynchrone, le 
circuit foumit les donnees de sortie en meme temps qu'une 
information comme quoi ces donnees sont disponibles, une fois 
qu'il a termini le traitement. Une attaque par analyse de la 

20 consommation d'un circuit asynchrone consiste a observer les 
pics d'^nergie qui correspondent en fait k des donnees (aux 
instants ou ces donnees sont trait^es) • II est alors possible. 
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pour un pirate, de decouvrir 1 • algorithme ou les donn6es 
secretes manipulees. 

Pour essayer de masquer les traitements de donn^es, 
une solution connue consiste k a j outer des circuits de 
5 traitement s\2ppl6mentaires, iriutiles pour le processus s^curise 
proprement dit, inais qui consomment de I'energie lorsqu'ils 
manipulent les donn^es, Les donn^es manipulees par'le processus 
asynchrone a prot^ger sont alors en quelque sorte masqu^es par 
l*energie pr61ev6e par les circuits de traitement additionnels . 

10 Outre le fait que I'efficacite d'une telle solution 

est en quelque sorte proportionnelle au noiribre de circuits de 
traitement suppl6mentaires prevus, done a I'encombrement 
suppl^entaire dans le circuit integre, elle ne fait 
qu'augmenter le hombre de combinaisons de donnees possibles que 

15 le pirate doit evaluer. 

En fait, si la consommation additionnelle depend des 
donnees trait6es, ces donnees res tent vuln6rables. Si la 
consommation additionnelle est independante des donnees traitees, 
elle represente en quelcpie sorte un bruit qui peut etre ^limin^ 

20 par des methqdes statistiques* 

En outre, a j outer des traitements augraente la consonmation. 
La pr6sente invention vise a proposer une autre 
solution pour prot^ger 1 'execution d'un processus algorithmic[ue 
asynchrone centre des attaques par analyse de la consommation du 

25 circuit Integra ou de la partie de circuit executant ce 
processus. 

La pr^sente invention vise notamment a proposer une 
solution dont I'efficacit^ ne soit pas liee a I'encombrement 
supplementaire dans le circuit integre, 
30 L* invention vise egalement a proposer une solution qui 

ne se traduise pas simplement par une augmentation des combi- 
naisons possibles devant etre examinees par le pirate. 

Pour atteindre ces objets et d'autres, la pr6sente 
invention pr6voit un proced6 d* alimentation d'un el&nent de 
35 calcul asynchrone d'vm circuit int^gr^, consistant h faire 
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varier al^atoirement l"6nergie instantanee d' alimentation de 
l'616inent de calcul. 

Selon un mode de mise en . oeuvre de la pr^sente 
invention r on r6partit al^atoirement, dans xine fenetre tenpo- 
5 relle prSd^termin^er I'^nergie instantanee fournie ^a l'616ment 
de calcul f i'^nergie totale dans la fenetre i^tant predetermin^e . 

Selon un mode de mise en oeuvre *de la presente 
invention r I'energie totale fournie ^ I'el^ent de calcul dans 
la fenetre tenporelle est d^terminee en fonction de la consom- 
10 mation maximale possible de l'616ment de calcul. 

La presente- invention pr^voit egalement \an circuit 
d* alimentation d'au moins un Element de traitement asynchrone 
d'xan circuit integr^, coirportant un Element d* alimentation 
variable command^ de fagon aleatoiire ou psefudo-al^atoire. 
15 Selon un mode de realisation.de la presente invention, 

ledit 616ment d' alimentation variable fait varier la tension 
d' alimentation de l*^l^ent de traitement asynchrone. 

Selon un mode de realisation de la presente invention, 
1' element d' alimentation variable est command^ par un generateur 
20 pseudo-aleatoire . 

Ces objets, caract^ristiques et avantages, ainsi que 
d'autres de la presente invention seront exposes en detail dans 
la description suivante de modes de mise en oeuvre et de 
realisation particuliers faite a titre non limitatif en relation 
25 avec les figures jointes parmi lesquelles : 

la figure 1 repr6sente, de fagon tres schematique et 
sous forme de blocs, un mode de realisation d'un circuit 
d* alimentation d'un 616ment de calcul asynchrone selon la 
presente invention ; et 
30 la figure 2 illustre, par un chronogramme, un mode de 

mise en oeuvre du proced^ d' alimentation selon 1' invention. 

Pour des raisons de clarte, seuls les etapes de 
proc^de et elements de circuit qui sont n^cessaires a la conpre- 
hension de 1' invention ont 6t6 repr^sent^s aux figures et seront 
35 d^crits par la suite. EIn particulier, I'algorithme mis en oeuvre 
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par I'^l^ment de calcul k prot^ger n'a pas ete d6taill6 et ne 
fait pas l*objet de 1» invention^ celle-ci s'appliquant quel que 
soit le processus asynchrone mis en oeuvre. De plus, 1' Element 
de calcul asynchrone est bien sOr le plus souvent associ6 k 
5 d'autres 61^ents de circuit avec lequel il est int6gr6. On ne 
fera reference ci-apr^s qu'^ 1* Element de calcul asynchrone et a 
son alimentation, 1* invention n'agissant pas sur le reste du 
circuit qui depend de 1' application. * ^ 

^ Une' caract6ristique de la pr^sente invention est de 

10 faire varier al^atoirement l'6nergie foumie k l'61^ent de 
traitement asynchrone des donn^es k prot^ger. 

La pr^sente invention tire profit du fait que, dans uh 
element de traitement asynchrone, un defaut d'^nergie par 
rapport a I'energie necessaire a la manipulation d'une donnee ne 

15 se traduit pas par une erreur de fonctionnement mais sinqplement 
par un retard dans le traitement des donn^es. En effet, un 
616ment de traitement asynchrone attend en quelque sorte d' avoir 
l'6nergie necessaire au traitement pour poursuivre son calcul. 

Dans les circuits classiques, la source d'4nergie est 

20 suffisante pour foumir a 1* element de traitement toute I'energie 
qu'il requiert a chaque instant. Selon 1' invention, on inpose 
I'energie foumie a I'^l&nent de traitement. 

Par exeirqple, on utilise un gen6rateur pseudo-al6atoire 
tenant compte de la dur^e souhaitee pour le calcul afin de 

25 repartir la quantite d'^nergie necessaire a ce calcul dans une 
fenetre temporelle. 

En effet, la seule contre-partie de la mise en oeuvre 
de 1' invention est un allongement de la dur^e d' execution. Cette 
duree d' execution peut cependant §tre maintenue dans une fenetre 

30 pr^determinee grace a lane generation pseudo-aieatoire . 

Si 1 ' application le permet, notamment si elle n'inpose 
pas de contraintes tenporelles, on peut utiliser un generateur 
aieatoire qui pr^sente I'avantage de dissocier non seulement 
1* alimentation mais egalement la dur6e par rapport aux donnees 

35 traitees. La dur^e de traitement est ainsi rendue al^atoire. 
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La figure 1 repr6sente, de fagon partial le tres sch6- 
matique et sous forme de blocs, un mode de realisation d'un 
circuit d' alimentation d'un Element 1 d' execution asynchrone 
d'\in algorithme de traitement de donn^es (ASYNC-ALGO) . De fagon 
classique, l'614ment de calcul asynchrone peut #tre sch6matis6 
comme un circuit recevant des donn^es d' entree E, fournissant 
des donn^es de sortie S et 6changeant des signaux de corhmande 
(CTRL) avec le reste du circuit int^gre (par exemple, avec un 
microprocesseur non repr^sente) . Parmi les signaux de commande 
figure notairanent le signal par lequel I'^l^ment 1 indique au 
reste du circuit int6gr6 que les donnees de sortie S sont 
disponibles. 

Selon 1* invention, le circuit 1 est alimente au moyen 
d'un circuit 2 (VAR) . Le circuit 2 foumit une energie variable 
au circuit 1 et est aliment^ par une tension Valim^ par exenple, 
la tension d'alimientation du circuit int^gre. Au sens de 
1* invention, la variation d* Energie peut etre effectuee en 
tension ou en courant, en respectant si besoin les con train tes 
d' alimentation minimales (par exen^le, en niveau de tension) 
afin de ne pas perdre les donnees en cours de traitement par le 
circuit asynchrone 1. 

Selon le mode de realisation represents en figure 1, 
le circuit 2 de variation de 1' alimentation est command^ par un 
genSrateur 3 pseudo-al6atoire (PRG) afin de distribuer 1' energie 
de fagon al6atoire tout en respectant une fenetre tenporelle T 
pred6terminee correspondant a la duree souhaitee pour 1' execu- 
tion du calcul. Le genSrateur 3 regoit la consigne T, par 
exeirple, de 1' unite centrale du circuit integre fixant la 
fenetre tenporelle. 

Dans le cas ou un meme circuit integre contient 
plusieurs elements de traitement asynchrone distincts, ceux-ci 
peuvent etre alimentes separement les uns des autres ou de fagon 
commune au moyen d'un m§me genera teur variable 2, 

La figure 2 illustre le fonctionnement du circuit de 
la figure 1 par un organigramme representant 1' energie (PW) 
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fournie au circuit 1 dans une fenetre teitiporelle T d' execution 
du calcul. 

En figure 2, on a repr^sent^ par un pointing ce 
que pourrait §tre I'energie absorb^e par le circuit 1 dans un 
5 cas classique^ si celui-ci 6tait directement aliments par la 
tension Valim sans recours au generateur variable 2 propre a 
!• invention. Dans ce cas, I'^l^ent 1 pr61eve autant d'^nergie 
qu'il en a besoin instantanement . C'est ce qui permet a un 
pirate 4ventuel d* analyser les pics de consoraraation et de reli'er 
10 ces pics aux donn6es (bits 0 6u 1) trait^es. Selon I'invention, 
la meitie quantity d'^ergie n^cessaire k 1' execution de 
!• ensemble du calcul est r6partie tenporellement dans la fenetre 
T de fagon aleatoire. 

Comme cela a ete indiqu6 ci-dessus, la seule 
15 consequence est un allongement de la dur^e du calcul par rapport 
au cas classique. Toutefois, cet allongement peut etre si besoin 
limits ^ une fenetre tenporelle pr6d6termin^ du g^n^rateur 
pseudo-aleatoire . 

Un avantage de la presente invention est qu'elle 
20 permet de masquer les donnees manipul^es par \in element asyn- 
chrone de fagon particulierement efficace et, notamment , sans 
que cela se traduise par une augmentation des combinaisons a 
examiner par le pirate 6ventuel, En effet, aucun traitement 
(calcul) suppl6mentaire des donnees n'est pr^vu par 1' invention. 
25 Par consequent, I'efficacite du systeme n'est pas li^e a 
I'accroissement de 1 ' encombrement des circuits de traitement. 

Un autre avantage de 1' invention est qu'elle ne n^ces- 
site aucune modification de 1' element de traitement asynchrone 
proprement dit. On se contente d'intervenir sur son alimen- 
30 tation. Cet avantage conduit notamment a ce que 1* invention 
puisse etre mise en oeuvre dans n'inporte quel processus de 
traitement asynchrone existant sans engendrer de modifications 
de la partie calcul du circuit integr^ existant. 

Un autre avantage de la pr6sente invention est qu'elle 
35 n'engendre pas de consommation 6nerg6tique suppl^mentaire pour 
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1' execution du calcul lui-meme, contrairement aux solutions 
requerant des circuits de traitement additionnels . 

La mise en oeuvre pratique de 1* invention it partir des 
indications fonctionnelles donnees ci-dessus est ^ la port6e de 
5 I'homme du metier. En particulier, la realisation d'un g#n§- 
rateur variable alimentant un 616inent de calcul asynchrone ne 
n^cessite que des cortqposants classiques fet est k la portee de 
I'homme du metier. * t 

Bien entendu, la presente invention est susceptible de 

10 diverses variantes et modifications qui apparaitront a I'homme 
de I'art. En particulier, la determination du niveau d'energie 
minimal ^ventuel qu'il faut fournir a un element de" traitement 
asynchrone pour preserver les donnees qu'il est en train de 
traiter depend de 1* application et I'homme du metier sera a meme . 

15 de fixer les seuils adaptes* Par exeir5)le, on pourra fixer \an 
seuil minimal de tension d* alimentation et faire varier al6a- 
toirement la tension d' alimentation du circuit de traitement 
dans une plage predetermin6e . Ehfin, la realisation d'un g^ne- 
rateur d'une consigne aleatoire ou pseudo-aleatoire fait appel a 

20 des moyens classiques qui sont a la portee du I'homme du metier. 
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!• Proc6d6 d' alimentation d'un 616ment de calcul asyn- 
chrone (1) d'un circuit int6gr6r caract6ris6 en ce qu'il consiste k 
repartir al^atoirement, dans une fenetre teraporelle pr^d^termi- 
nee (P) r I'^nergie instantan6e d' alimentation de 1' element de 
5 calcul r I'^nergie totale dans la fenetre etant pred^terminee . 

2. Proc^6 selon la revendication 1, caract6ris6 en ce 
que l»4nergie totale fournie k l'616ment de calcul dans la 
fenetre temporelle est d6termin6e en fonction de la consommation 
maximale possible de 1' element de calcul. 
10 3. Circuit d' alimentation d'au mains vn element de 

traitement asynchrone (1) d'un circuit int^gre^ caract^rise en 
* ce qu'il cortporte un 416ment d'aliinentation variable (2) de 1' ele- 
ment de traitement asynchrone; ledit element d' alimentation r^par- 
tissant de f agon al6atoire et dans une fenetre tenporelle pr6d6- 
15 termin6e, I'energie instantanee fournie a I'^l^ent de calcul, 
I'energie totale dans la fenetre 6tant predeterminee • 

4. Circuit selon la revendication 3, caract6ris6 en ce 
que 1 'Aliment d' alimentation variable (2) est command^ par un 
g^n^rateur pseudo-aleatoire (3) . 



wo 2004/027688 



# 



tX/FRlOOJ/OSOOSS 




